Uw GeldOf Uw Data!

Ransomware. Hoe veilig is úw data?

VOLG ONS

ˈrans(ə)mwɛː/ noun:ransomware;noun:ransom-ware atypeofmalicioussoftwaredesignedtoblockaccesstoacomputersystemuntilasumof moneyispaid.

Ransomware is malware van de nieuwste generatie. Cryptowall, Teslacrypt, Locky en ontelbaar veel andere varianten maakten reeds heel wat slachtoffers onder particulieren én bedrijven en de ransomware evolueert zo snel dat er steeds nieuwe dreigingen bij komen. Daardoor blijven zelfs de modernste beveiligingssystemen vaak een stap achter en stijgt het aantal slachtoffers exponentieel.

In deze whitepaper ontdekt u alles wat u moet weten over ransomware:

Wat is ransomware en hoe is het ontstaan?• Wat zijn de soorten ransomware?• Hoe vindt ransomware zijn weg naar uw bedrijf• Waarom is deze vorm van malware zo succesvol?• Hoe kan u uw organisatie op korte én lange termijn beschermen?•

Uw GeldOf Uw Data!

U opent uw laptop om verder te werken aan dat ene belangrijke document ... maar krijgt een melding te zien dat uw bestand versleuteld werd. Niet één bestand, maar alle bestanden op uw toestel blijken onbruikbaar. Erger nog: ook uw backup bestanden blijken onbruikbaar en één voor één melden uw collega’s hetzelfde probleem. Het is de nachtmerrie voor elk bedrijf, die dagelijks nog bedrijven treft.

VOLG ONS

Het eerste geval van ransomware dateert reeds van 1989. Joseph Popp verspreidde tijdens een AIDS conferentie floppy disks die geïnfecteerd waren met de zogenaamde AIDS Trojan. De ontvanger dacht op de disk nuttige informatie te vinden, maar in werkelijkheid verborg de malware gebruikersmappen op de PC en werden de bestanden op de C-schijf geëncrypteerd.

Gebruikers konden hun bestanden ‘vrijkopen’ door een cheque op te sturen naar een post office box in Panama. Aangezien de ransomware gebruik maakte van symmetrische encryptie waren er echter snel tools beschikbaar om de bestanden te decrypteren.

De AIDS Trojan was de voorloper van de ransomware die we vandaag kennen, maar het duurde tot 2005 eer criminelen nieuwe versies ontwikkelden. Deze keer gaven ze echter niet op wanneer een fout in hun software ontdekt werd: ze leerden uit hun fouten en bleven steeds nieuwe en betere varianten ontwikkelen.

Het ontstaan van Ransomware

VOLG ONS

Tijdslijnvandemeest‘populaire’ransomwareindeafgelopenjaren.

Ransomware is het grootste en wijdst verspreide gevaar dat internetgebruikers vandaag ervaren. Het aantal ransomware is exponentieel gegroeid. Bovenstaande tijdslijn toont enkele tientallen van de meest gekende varianten, maar in totaal zijn er duizenden varianten. De schadelijke bestanden worden de wereld rondgestuurd via spam berichten, geïnfecteerde websites en zelfs apps, met het doel om ‘losgeld’ te bekomen vvan den slachtoffers. Zowel thuisgebruikers als zakelijke gebruikers vallen ten prooi aan de criminelen en niet enkel Windows, maar ook Mac en Android blijken kwetsbaar.

Software fabrikanten doen er alles aan om alle kwetsbaarheden op te vangen maar ook de hackers worden steeds inventiever.

VOLG ONS

Interestovertime

Bron: Google Trends

Regionalinterest

Bron: Google Trends

VOLG ONS

Er kunnen 3 grote ransomware groepen onderscheiden worden.

Scareware1. tracht de computergebruiker bang te maken met meldingen over illegale content (kinderporno of gekraakte software) die zou gevonden zijn op het toestel. Indien de gebruiker geen boete betaalt zou er zogezegd een arrestatie volgen, of zou de browsergeschiedenis publiek worden gemaakt. In sommige gevallen worden op onverwachte momenten pornografische af-beeldingen getoond op het scherm.Er is ook 2. ransomwarediehetgebruikverhindertenfunctionaliteitenblokkeert. Het besturingssysteem of bepaalde applicaties worden geblokkeerd tot er betaald is.De derde soort, 3. cryptoware, is de meest populaire en gevaarlijke soort. Bestanden worden assymetrisch geëncrypteerd en de gebruiker krijgt een deadline om over te gaan tot betaling van het losgeld. Verstrijkt deze deadline, dan wordt de sleutel vernietigd.

In bovenstaande screenshot zien we een computer die geïnfecteerd is met CoinVault. Deze variant biedt het slachtoffer aan om 1 bestand gratis te decrypteren, waarmee de hackers hun goodwill willen aantonen en het vertrouwen van hun slachtoffer trachten te winnen.

Soorten Ransomware

VOLG ONS

Virus scanners, firewalls, IPS-systemen, anti-spam, webfiltering, … bedrijven doen heel wat moeite om zich te beschermen tegen allerlei bedreigingen. Toch is het aantal infecties wereldwijd torenhoog. Een infectie scenario ziet er vaak als volgt uit:

Een gebruiker ontvangt een email die schijnbaar betrouwbaar is, met een bestand (vaak een factuur •of aflevernota) in bijlage.Wanneer het bijgevoegde Word of Excel bestand geopend wordt, zal een macro automatisch •trachten te starten, en de volgende acties in werking zetten:

o Er wordt verbinding gemaakt met een tijdelijk web adres om de eigenlijke ransomware te downloaden. Wanneer een web adres onbereikbaar is, wordt automatisch een ander adres aangesproken, tot de download tot stand kan worden gebracht. o De macro voert de ransomware uit. o De ransomware verstuurt informatie over het geïnfecteerde toestel naar de servers van de hackers en download een individuele sleutel voor deze computer. o Belangrijke bestandstypen (Office documenten, database bestanden, PDFs, CAD documenten, HTML, XML enzoverder) worden versleuteld op de lokale computer én alle toegankelijke netwerkschijven. o Automatische Windows backups worden vaak verwijderd om data recovery te vermijden. o De gebruiker krijgt vervolgens een melding te zien dat zijn bestanden versleuteld werden. Hij krijgt een beperkte tijd (meestal 72 uur) om het losgeld, vaak in de vorm van bitcoins, te betalen. Is er binnen die tijd geen losgeld betaald, dan wordt de unieke decryptiesleutel definitief verwijderd van de servers van de hackers en is decryptie van bestanden niet meer mogelijk. o Als laatste stap gaat de ransomware zichzelf verwijderen en enkel de versleutelde bestanden en het ‘losgeld’ bericht actherlaten.

Dit is 1 voorbeeld van een infectie scenario. Email is wellicht de meest populaire manier om malware te verspreiden, maar het is zeker niet de enige manier. De Cryptowall ransomware bijvoorbeeld werd voornamelijk verspreid door een exploit kit, een malafide software op web servers die kwetsbaarheden zoekt op het toestel dat geïnfecteerd wordt.

Hoe gebeurt zo’n infectie met malware?

VOLG ONS

Het ‘succes’ van deze ransomware heeft 3 voorname oorzaken.

1. Gesofisticeerde technologie

De makers van de ransomware gaan erg naukweurig te werk. Er wordt steeds gezocht naar nieuwe kwetsbaarheden en exploit kits worden in criminele kringen doorverkocht. Daarnaast worden gebruikers op een doordachte manier misleid, door de email berichten te personaliseren en zelfs instructies toe te voegen zoals “If the encoding of the attached Word document seems incorrect, please activate macro’s. This is done as follows...”

De ransomware maakt gebruik van technologie die binnen veel bedrijven toegestaan is, zoals Microsoft Office marcros, Javascript, VBScript, CHM, Flash en Java. Daardoor kan een onoplettende gebruiker makkelijk de malware activeren.

2. “Eerlijke” hackers

Een andere factor die het succes van deze ransomware zeker in de hand werkt, is het feit dat ze hun ‘losgeld’ beloftes doorgaans wel nakomen. Er zijn heel wat berichten van gebruikers die tijdig het losgeld betaalden en ook gewoon de decryptie sleutel ontvingen. Getroffen gebruikers zien betalen dan ook vaak als een laatste redmiddel wanneer niets anders lijkt te werken.

3. Beveiligingslekken bij de getroffen bedrijven

De getroffen bedrijven schieten tekort op een van de volgende vlakken:Ontoereikende • backupstrategie: geen real-time backups of geen offline/off-site backupsUpdates/patches• van besturingssystemen en applicaties worden niet consequent opgevolgdGebruikers hebben • teveelrechten: gebruikers werken als administrators en hebben meer rechten dan nodig voor hun takenOnvoldoende • gebruikerstraining: Welke documenten mag ik openen? Wat is de procedure voor verdachte bestanden? Hoe herken ik een phishing email?Beveiligingssystemen• (virus scanners, firewalls, …) zijn niet geïnstalleerd of niet goed geconfigureerd.Gebrek aan • kennis bij de IT verantwoordelijke: .exe bestanden worden wel geblokkeerd maar macro’s in Office niet, hoewel die doorgaans niet gebruikt worden door bepaalde afdelingenConflicterende • prioriteiten: we weten dat we niet optimaal beveiligd zijn maar onze mensen moeten aan het werk blijven.

Waarom heeft deze Ransomware zoveel ‘succes’?

VOLG ONS

Best practices die u meteen kan invoeren

Stelregelmatigebackupsin• en bewaar een kopie van de backup off-site. Een goede backup beschermt uw organisatie niet enkel voor ransomware, maar ook bij diefstal, hardware falen, brand, overstroming of het onopzettelijk verwijderen van bestanden door medewerkers bent u aangewezen op uw backup.Schakelgeenmacro’sin• voor documenten in email bijlages. Microsoft heeft jaren terug reeds het automatisch uitvoeren van macro’s standaard uitgeschakeld. Heel wat malware infecties vertrouwen op deze macro’s, schakel ze dus niet zomaar in.Wees voorzichtig met • ongevraagdebijlagen. Twijfelt u of een bijlage betrouwbaar is? Ga dan grondig de herkomst van de email na. Bent u nog niet overtuigd? Vraag dan de verzender om bevestiging alvorens de bijlage te openen.Windows verbergt standaard extensies voor gekende bestandstypes. Daardoor kan een gebruiker •het bestand factuur.pdf.exebijvoorbeeld zien als factuur.pdf. Het is aangeraden om deze standaard instelling in windows verkenner uit te schakelen: Ga naar de Windows Verkenner > Bestand > Map en zoekopties wijzigen > Extensies voor bekende bestandstypen verbergen uitvinken.

Ransomware voorkomen

VOLG ONS

Controleer vooraf waar links in verdachte mails naar verwijzen: ga met je muis over de link (1), je ziet •dan linksonder de effectieve website naarwaar verwezen wordt (2).

Gebruik steeds• sterkepaswoorden.Gebruik een • pop-upblocker in uw webbrowser.Download software enkel van • vertrouwdewebsites. Games, toolbars en gratis software kunnen namelijk ook geïnfecteerd zijn met malware.Geef uzelf niet meer • rechten dan nodig. Blijf niet langer dan nodig ingelogd als administrator. U heeft ook geen administrator rechten nodig voor eenvoudige taken als surfen, het openen van documenten of andere ‘standaard werk’ activiteiten.Overweeg om de Microsoft • Officeviewers te installeren. De viewer applicatie geeft je een preview van een document zonder deze te openen in Word of Excel zelf. De viewer software ondersteunt ook geen macro’s, u kan deze dus ook niet per toeval inschakelen.Patch• snel en regelmatig. Malware die niet verspreid wordt via macro’s in documenten maken vaak gebruik van beveiligingslekken in populaire applicaties als Office, uw webbrowser, flash en andere. Hoe sneller u patches en updates doorvoert, hoe kleiner de kans dat er misbruik van gemaakt kan worden.Blijf op de hoogte van nieuwe • beveiligingsfunctionaliteiten in uw bedrijfsapplicaties. Office 2016 bevat nu bijvoorbeeld een functie die macro’s blokkeert bij bestanden die afkomstig zijn van het internet. Dankzij deze functie kan u intern macro’s blijven gebruiken maar blokkeert u wel potentieel gevaar in bestanden van buitenaf.Gebruik dezelfde voorzorgsmaatregelen op uw • mobieletelefoonentablet. Ook uw mobiele toestellen zijn kwetsbaar wanneer u surft op het internet.

VOLG ONS

Optimale beveiliging in 4 lagen

Trendmicro is al jaar en dag een van de leiders op het vlak van beveiliging. Zij geven aan dat er helaas geen ‘zilveren kogel’ is in de strijd tegen ransomware. De beveiliging vraagt een meerlaagse benadering om het risico zoveel mogelijk te beperken.

1. Email en internetbescherming

Een infectie start bij de gebruikers, die het slachtoffer worden van een phishing e-mail of klikken op een onveilige link. Trend Micro biedt een out-of-the-box oplossing voor mail op Office 365: TrendMicroCloudAppSecurity, en een email inspectie tool DeepDiscoveryEmailInspector. De InterScanWebSecuritytoolvan Trend Micro zorgt dan weer voor de veiligheid van uw gebruikers tijdens het surfen.

2. Eindpuntbescherming

Trend Micro detecteert 99% van de ransomware-bedreigingen in e-mailberichten en hyperlinks. Dit betekent dat nog altijd 1% zou kunnen doordringen tot uw eindpunt. Trend Micro SmartProtectionSuites minimaliseert het risico van ransomware op uw eindpunten (een eindpunt is een toestel dat toegang heeft tot het netwerk):

Gedragsbewaking• tegen verdachte gedragingen die samenhangen met ransomware, zoals de snelle versleuteling van meerdere bestanden. Het encryptieproces kan automatisch gestopt en het eindpunt geïsoleerd worden voordat de ransomware zich kan verspreiden en meer schade kan aanrichten aan uw dataToepassingscontrole• creëert witte lijsten van toepassingen; deze zorgen ervoor dat alleen toepassingen worden uitgevoerd waarvan bekend is dat zij ok zijn en ze voorkomen dat onbende toepassingen zoals ransomware worden uitgevoerd.Afschermingvankwetsbaarheden• beschermt u tegen ransomware die profiteert van niet-gecorrigeerde kwetsbaarheden in de software

3. Netwerkbescherming

E-mail en internet zijn gebruikelijke toegangspunten voor ransomware, maar ook via andere netwerkprotocollen en aanvalsmethoden kunt u slachtoffer worden van ransomware.Trend Micro Deep Discovery Inspector is een netwerktoepassing die ransomware op uw netwerk detecteert en blokkeert, zodat deze zich niet kan verspreiden naar andere eindpunten en servers. Hij beschermt u tegen ransomware met:

Bewaking van alle netwerkpoorten en meer dan 100 protocollen voor ransomware, via analyses die •

TrendMicro beveiliging

VOLG ONS

gebaseerd zijn op patronen en reputaties, scriptemulatie en de detectie van zero-day-exploits en -commando’s en besturingsverkeer; dit alles om ransomware te kunnen identificeren in de totale bestrijdingsketenSandbox-analyse op maat voor het detecteren van wijzigingen in massabestanden, encryptiegedrag •en andere modificaties die typisch zijn voor ransomwareIntegratie met Trend Micro e-mail- en internettoegangen, en met oplossingen voor eindpunt- en •serverbescherming om een connected bescherming tegen bedreigingen te verkrijgen zodat informatie over nieuwe bedreigingen wordt gedeeld over meerdere lagen

4. ServerbeschermingRansomware richt zich in toenemende mate op servers, met overduidelijke recente voorbeelden zoals >SAMSAM (ook bekend als SAMAS), waarmee de aanvallers zich op bekende kwetsbaarheden in software richten om ransomware te injecteren. Trend Micro™ Deep Security™ beschermt uw servers, hetzij fysieke, virtuele of in de cloud, tegen ransomware met:

Suspicious Activity Detection and Prevention: Als ransomware voet aan wal probeert te krijgen in een •datacenter…(bijv. via een gecompromitteerde gebruiker die verbinding maakt met een fileserver), kan Deep Security verdachte netwerkactiviteit detecteren en voorkomen dat deze wordt voortgezet, terwijl tevens wordt gewaarschuwd dat er een probleem isVulnerability Shielding: beschermt servers en toepassingen tegen aanvallen met ransomware door •hen af te schermen van de uitvoer van bekende kwetsbaarheden in de software en door ze ze ‘virtueel te corrigeren’ tot er een patch of fix kan worden aangebrachtLateral Movement Detection: Als ransomware toch in het datacenter doordringt, kan verspreiding •ervan geminimaliseerd worden met detectie- en blokkeringstechnieken.

Ransomware vormt een voortdurende bedreiging voor alle organisaties en er zijn geen indicatoren dat deze snel zal verdwijnen. De gevolgen van een infectie zijn voor heel wat bedrijven fataal gebleken en mogen dan ook niet genegeerd worden. Zorg dat uw kritieke bedrijfsdata optimaal beveiligd is en neem vandaag nog stappen. Bovenstaande acties op korte en lange termijn helpen u op weg maar aarzel niet om hulp in te schakelen indien nodig.

VOLG ONS

Een vraag over de beveiliging van uw ICT omgeving?Contacteerons:Techne IT Solutionswww.techne.beinfo@techne.be02/669 00 30

Ransomware. Hoe veilig is úw data?